В решении Kaseya Unitrends для резервного копирования выявлено три уязвимости

В решении Kaseya Unitrends для резервного копирования выявлено три уязвимости

Эксплуатация проблем позволяет авторизованному злоумышленнику удаленно выполнить код и повысить привилегии на системе.

image

Исследователи в области кибербезопасности из нидерландской некоммерческой организации DIVD (Dutch Institute for Vulnerability Disclosure) предупредили о трех уязвимостях в сервисе Kaseya Unitrends. Проблемы затрагивают версии Kaseya Unitrends 10.5.2 и более ранние.

Kaseya Unitrends — облачное корпоративное решение для резервного копирования и аварийного восстановления данных, которое предлагается как автономное решение или как надстройка для платформы удаленного управления Kaseya VSA.

«Не следует подключаться к Сети с помощью данной службы, пока Kaseya не исправит данные уязвимости», — предупредили специалисты.

Эксплуатация уязвимостей позволяет авторизованному злоумышленнику удаленно выполнить код, повысить привилегии на системе и удаленно выполнить код без проверки подлинности на стороне клиента.

Для успешной эксплуатации проблем преступнику потребуется авторизоваться для удаленного выполнения кода или повышения привилегий в общедоступной службе Kaseya Unitrends. Более того, злоумышленнику необходимо проникнуть в клиентскую сеть для использования RCE-уязвимости без аутентификации.

Как отметили специалисты, количество уязвимых установок невелико, но они были обнаружены в критических инфраструктурах.


Больше пяти не собираться: роботы будут следить за улицами Сингапура, хакеры атаковали проект Jenkins, во Франции арестовали экологов, данные которых раскрыл ProtonMail, а россиян беспокоит идея «социальных рейтингов». Смотрите 31-й выпуск наших новостей.